ISO 37301: COMO LLEVAR SU PROGRAMA DE COMPLIANCE AL PRÓXIMO NIVEL
Fernando Peyretti
Socio de Forensics @Deloitte Spanish Latam | Director @AAEC | Profesor Universitario @UCEMA @UCES | Conferencista
INTRODUCCIÓN
Hoy más que nunca vemos como avanza la concientización respecto del comportamiento ético en el mundo de los negocios. Esta tendencia se ha visto apalancada por nuevos marcos normativos que promueven a las organizaciones a disponer de modelos de gobierno corporativo y Compliance que fortalezcan el comportamiento ético de sus empleados y socios de negocio.
En este contexto, la ISO 37301 supone el reemplazo del anterior estándar internacional de sistemas de Compliance, ISO 19600.
OBJETIVO Y ÁMBITO DE APLICACIÓN
La International Organization for Standardization (ISO) en su labor de revisión, actualización y mejora continua en la revisión de los estándares normativos, tiene el objetivo de adaptar sus estándares en función de la evolución de las coyunturas de negocios que se presentan; y en este sentido la nueva norma ISO 37301 fue desarrollada para proporcionar los requisitos para el establecimiento, desarrollo, implementación, evaluación y mejora continua de un sistema de Compliance efectivo y adecuado; siendo aplicable a cualquier organización, más allá de sus características particulares.
Esta norma internacional se basa en los principios de buen gobierno, proporcionalidad, transparencia y sostenibilidad. Una novedad muy importante en la nueva ISO 37301 con respecto a la actual ISO 19600 es que será certificable por cualquier organización.
PRINCIPALES DIFERENCIAS ESTRE ISO 37301 E ISO 19600
Una de las principales diferencias es que ISO 19600 era una norma que presentaba un conjunto de directrices con el objeto de proporcionar orientación para establecer sistemas de gestión de Compliance con base en los principios de buen gobierno corporativo, transparencia y sostenibilidad; pero que no contenía requisitos, a diferencia de la ISO 31301, que sí los tiene y eso la transforma en una norma certificable. Siendo esta última una norma que tiene como objetivo el establecimiento, desarrollo, implementación, mantenimiento, evaluación y mejora continua de un Sistema de Gestión de Compliance.
ISO 37301 también incluye una guía para la adecuada aplicación de la norma, y para promover su integración con otras normas ISO, cuenta con la estructura de alto nivel, en la que se incorporan los requisitos comunes que permiten una complementación armoniosa con otros sistemas de gestión como como los de riesgos, antisoborno, calidad, ambiental, seguridad de la información; detallados en las Normas ISO 31000, ISO 37001, ISO 9001, ISO 14001 e ISO/IEC 27001.
REQUERIMIENTOS DEL MODELO: EL ESTÁNDAR ISO 37301 ESTABLECE DISTINTOS REQUISITOS Y ELEMENTOS EN TORNO A 7 ÁMBITOS:
1. CONTEXTO DE LA ORGANIZACIÓN
Implica determinar las cuestiones externas e internas que son relevantes para la misión y objetivos de la organización, y que condicionan o pueden condicionar la capacidad de obtener resultados previstos en su Sistema de Gestión de Compliance.
En este sentido será fundamental tener en cuenta como factores externos:
· Marco regulatorio local y trasnacional;
· Contextos sociales, culturales y ambientales en los que se desarrollan los negocios;
· Marco tecnológico en el que se desenvuelve la organización;
· Coyuntura económica.
Y como factores internos:
· Estructuras, políticas, procedimientos, procesos y recursos;
· Modelo de negocio (estrategia, naturaleza, tamaño, escala de complejidad y sostenibilidad de la actividad de la organización);
· Naturaleza y alcance de las relaciones de negocios;
· La propia cultura de Compliance de la organización.
Respecto del Modelo de Gestión de Compliance, se deberá definir el alcance del mismo, con base al contexto analizado y a los objetivos de cumplimiento definidos. Así como también respecto de los riesgos de Compliance, y de las necesidades y expectativas de las partes interesadas. Se deberá identificar a los riesgos de incumplimiento en procesos, actividades, y productos y servicios que integran los negocios de la organización, y definir una metodología de evaluación y monitoreo de los mismos.
2. LIDERAZGO
Se encuentra representado por el compromiso de la organización con el cumplimiento de las obligaciones de Compliance, el establecimiento de la política y los objetivos de Compliance y con los recursos necesarios para que el Sistema de Gestión de Compliance funcione adecuadamente. La norma requiere definir las principales funciones que deben ser asumidas por los distintos roles de la organización:
Principales roles y responsabilidades del personal involucrado en el Sistema de Gestión de Compliance:
a. ÓRGANO DE GOBIERNO
· Certificar que la alta dirección es evaluada según el cumplimiento de los objetivos de Compliance;
· Desarrollar controles sobre la alta dirección en relación al funcionamiento del Sistema de Gestión de Compliance.
b. ALTA DIRECCIÓN
· Asignar los recursos para un correcto establecimiento, desarrollo, implementación, mantenimiento, evaluación y mejora continua del Sistema de Gestión de Compliance;
· Establecer sistemas para medir el desempeño del Compliance en la organización;
· Garantizar la presentación de resultado de Compliance.
· Alinear los objetivos estratégicos y operativos con las obligaciones de Compliance.
· incluir los objetivos de Compliance en las evaluaciones de desempeño del personal.
c. FUNCIÓN DE COMPLIANCE
· Operar el Sistema de Gestión de Compliance.
· Integrar las obligaciones de Compliance a las políticas y procesos de negocios.
· Formar al personal para promover una cultura de Compliance.
d. GERENTES
· Promover y apoyar a la Función del Compliance dentro de su área de responsabilidad.
· Asegurar el cumplimiento del personal con sus obligaciones de Compliance.
· Impedir represalias hacia los empleado que legítimamente actúen en el marco del Sistema de Gestión de Compliance.
e. PERSONAL
· Adherir a las obligaciones, políticas, procedimientos y procesos de Compliance de la organización.
· Informar sobre posibles de fallos de Compliance.
· Formarse en Compliance a través de las herramientas puestas a disposición por la organización.
3. PLANIFICACIÓN
Está basada en acciones para la proyección del sistema de Compliance, incluyendo el establecimiento de los objetivos, las obligaciones y métodos de evaluación del Sistema de Gestión de Compliance.
a. ACCIONES PARA GESTIONAR RIESGOS Y OPORTUNIDADES
En este sentido será fundamental tener en cuenta la comprensión de la organización y su contexto, así como desde la comprensión de las necesidades y expectativas de las partes interesadas para realizar un monitoreo periódico de los riesgos de Compliance, especialmente ante cambios internos o externos significativos.
b. OBJETIVOS DE COMPLIANCE
Se deberá Incluir en la planificación cuáles son los objetivos en materia de Compliance. Dichos objetivos deben ser:
Recomendado por LinkedIn
· Coherentes con la política de Compliance de la organización.
· Medibles para facilitar la monitorización de los mismos.
· Conocidos por todos los miembros de la organización
c. PLANIFICACIÓN DE LOS CAMBIOS
Cuando la organización se vea con la necesidad de implementar cambios en el Sistema de Gestión de Compliance, los mismos deben realizarse de forma planificada.
4. APOYO
Implica asegurar la disponibilidad de los recursos para el adecuado funcionamiento del Sistema de Gestión de Compliance.
La norma destaca algunos aspectos relevantes a considerar por la organización:
a. RECURSOS
Incluye los recursos económicos y humanos necesarios para cumplir con los objetivos planteados y planificados.
b. COMPETENCIA
· Determinar el nivel de competencia requerido para el personal involucrado en el Sistema de Gestión de Compliance.
· Desarrollar los medios necesarias para que el personal de la organización cumpla con las obligaciones del Sistema de Gestión de Compliance.
c. TOMA DE CONCIENCIA
Involucra concientizar al personal sobre:
· La política de Compliance.
· Los roles y responsabilidades en el Sistema de Gestión de Compliance.
· Las consecuencias derivadas del incumplimiento de las obligaciones asumidas.
d. COMUNICACIÓN
Se debe determinar la comunicación vinculada con el Sistema de Gestión de Compliance.
e. INFORMACIÓN DOCUMENTADA
La información del Sistema de Gestión de Compliance deberá estar estructurado bajo los siguientes parámetros: disponible, protegida y con instancias de revisión periódica, focalizándose en su integridad. El alcance de dicha información puede diferir entre las organizaciones según la magnitud, industria, y complejidad de los procesos.
5. OPERACIONES
Incluye la planificación, implementación y control de los procesos para garantizar el cumplimiento de los requisitos, y para implementar las acciones detalladas en el capítulo referido a la Planificación.
Para ello la organización desarrollará las siguientes actividades:
a. PLANIFICACIÓN Y CONTROL OPERACIONAL
Realizar una priorización de las acciones a llevarse adelante, en función de los objetivos, y establecer los mecanismos de medición y seguimiento necesarios.
b. ESTABLECIMIENTO DE CONTROLES Y PROCEDIMIENTOS
Implementar y actualizar de manera periódica los controles que gestionan las obligaciones y riesgos identificados en el ámbito de Compliance.
c. PLANTEAMIENTO DE INQUIETUDES
Habilitar canales de comunicación que permitan informar sobre hechos que puedan suponer una violación real o aparente de las obligaciones de Compliance.
Los canales deben permitir la confidencialidad de las personas que realicen reportes de inquietudes.
d. PROCESOS DE INVESTIGACIÓN
Establecer procesos para evaluar, investigar y cerrar casos aparentes o reales de incumplimiento, exteriorizando la cantidad y resultado de las investigaciones periódicamente. La información sobre la investigación debe ser conservada por la organización respetando las regulaciones de las jurisdicciones en que se hayan desarrollado los procesos de investigación y las regulaciones transnacionales que alcancen a la organización.
6. EVALUACIÓN DEL DESEMPEÑO
Vigilancia, medición, análisis y evaluación del Sistema de Gestión de Compliance y del grado de cumplimiento de sus objetivos.
La organización vigilará el funcionamiento del Sistema de Compliance para asegurar que se logren los objetivos planificados, a través de las siguientes actividades:
a. SEGUIMIENTO, MEDICIÓN, ANÁLISIS Y EVALUACIÓN
· Determinación respecto de a que dar seguimiento y que dimensiones deben ser medidas; métodos de evaluación; frecuencia de la medición y validación de los resultados obtenidos.
b. AUDITORÍA INTERNA
Llevar adelante auditorías internas sobre el Sistema de Gestión de Compliance para comprender si el mismo cumple con la norma y es mantenido eficazmente.
c. REVISIÓN DE LA GESTIÓN
Revisión del sistema por parte del órgano de gobierno y la alta dirección, resaltándose:
· Análisis del estado de las acciones correctivas previamente identificadas.
· Alteraciones significativas en factores internos y externos que pudieran afectar al Sistema de Gestión de Compliance.
7. MEJORA
El Sistema de Compliance debe mejorar y actualizarse de forma continua.
CONCLUSIONES
El contexto actual, que desde el 2020 nos encuentra inmersos en una pandemia que implicó profundos cambios para los diferentes actores de la sociedad, y respecto de las organizaciones, sus procesos de negocios requirieron adaptarse a una realidad muy dinámica, y al mismo tiempo con marcos regulatorios cada vez más complejos en materia de Compliance. En esta coyuntura, tener un modelo de Compliance robusto y efectivo debe formar parte de la estrategia de cualquier organización que se proyecte haciendo negocios a largo plazo y diferenciándose positivamente en el mercado.
A partir de esta descripción de la realidad, la reciente ISO 37301:2021 adquiere especial relevancia, incorporando buenas prácticas para una gestión eficaz de los modelos de Compliance, destacándose la cultura de Compliance como algo central para lograr que un Sistema de Gestión de Compliance sea exitoso.
Por otro lado, la ISO 37301:2021 comienza a ser una referencia para los reguladores y los poderes judiciales de diversos países, que en muchos casos evalúan positivamente el compromiso de las organizaciones con sus programas de Compliance, cuando identifican que las organizaciones realizaron esfuerzos para implementar prácticas de clase mundial certificadas. Desde este punto de vista, la ISO 37301:2021 será una herramienta muy potente para llevar a los programas de Compliance al máximo nivel.